‘이 프로그램은 시스템에 설치된 코드 무결성 정책을 위반하므로 디바이스 가드에서 차단했습니다.’
마이크로소프트가 29일 출시하는 차세대 운용체계(OS) 윈도10이 급증하는 악성코드를 사전에 대응하는 강력한 보안기능으로 무장했다. 기업이나 PC제조사가 허가하지 않은 프로그램 실행을 원천 차단한다. 디바이스 가드(Device Guard) 기능이 OS에 통합되며 엔드포인트 보안 시장에도 적잖은 파장을 끼칠 전망이다.
◇악성코드 사전에 막는다
윈도10은 기업용과 교육용 제품에서 디바이스 가드 기능을 제공한다. 디바이스 가드는 신뢰하는 소프트웨어 회사가 개발했거나 악의적으로 변조되지 않은 프로그램만 PC에서 실행한다. 코드 무결성을 검증한다. 마치 윈도 스토어나 앱스토어 등 공식 판매처에서 검증한 프로그램만 내려 받는 것과 같다. 개인이 주로 쓰는 프로페셔널과 홈 버전은 디바이스 가드 기능이 없다.
윈도10은 커널과 사용자 모드에서 코드가 깨끗한지 검증한다. 사용자모드 코드무결성(UMCI)은 응용 프로그램 설치와 실행 제어다. 최근 공격자는 주요 목표물에 스피어 피싱 이메일을 보낸다. 이메일 첨부파일이나 링크를 열면 PC에 악성코드가 설치 실행된다. 디바이스 가드는 PC에 허가 없이 설치되는 프로그램을 원천 차단한다. 그동안 PC에서 악성코드를 막는 방법은 안티바이러스 솔루션 설치였다. 악성코드가 실행된 후 이에 대응하는 백신을 만들어 대응하는 사후 조치다.
백승주 한국마이크로소프트 부장은 “대부분 악성코드는 서명되지 않은 형태로 배포된다”며 “서명되지 않은 응용프로그램만 실행할 수 없게 해도 현재 공격 95%를 막는다”고 설명했다.
◇OS 핵심 커널도 별도 공간에서 보호
디바이스 가드를 사용하는 윈도10은 가상화 기술을 이용해 커널을 격리한다. 커널 모드 코드 무결성(KMCI) 기능이다. 커널은 OS 핵심으로 하드웨어와 직접 통신하는 영역이다. 프로그램에서 메모리를 요구하면 직접 하드웨어에 접근하지 않고 커널에 요구한다. 윈도에 로그인하면 계정과 암호가 로컬 시큐리티 인증 서비스(LSASS)에 전달된다. 해당 서비스는 커널에 들어있는데 공격자가 커널을 탈취하면 계정과 암호도 노출된다. 마이크로소프트는 별도 격리된 공간에 해당 서비스를 넣어 공격을 차단한다. 커널영역에서 아예 고립시켜 악성코드 감염 시에도 피해를 최소화한다. 격리된 공간에는 코드 무결성을 검사하는 서비스도 들어간다.
백승주 부장은 “디바이스 가드를 사용하는 윈도10은 부팅할 때부터 응용 프로그램 실행까지 외부 침입여부를 점검하고 호출하는 프로그램도 손상되지 않아야 정상 작동한다”며 “KCMI는 안전하지 않은 드라이버가 설치되는 것을 막고 UMCI는 응용프로그램 영역에서 보안을 강화한다”고 설명했다.
김인순기자 insoon@etnews.com
